En un año particularmente marcado por la importancia de cuidar la privacidad de los datos de los usuarios, Navionics, el fabricante de cartas náuticas recientemente adquirido por el especialista en dispositivos GPS Garmin, se ha sumado a la lista de empresas que han comprometido la información de sus clientes.
La compañía con sede en Massarosa (Italia) que ofrece mapas electrónicos de navegación marítima en tiempo real principalmente a propietarios de botes, yates y barcos expuso la "base de datos de cartografía más grande del mundo", según ha informado TechCrunch.
La base de datos de compradores y productos de 19 GB contenía los registros de 261.259 clientes, incluyendo direcciones de correo electrónico, en algunos casos nombres, ID de productos comprados e ID de usuario. También tenía información como la versión de la aplicación y la plataforma usada, la identificación del dispositivo, la longitud y latitud, la velocidad de la embarcación, un dispositivo de navegación, la precisión horizontal y otros detalles de navegación.
Google+ fue hackeado en 2015: medio millón de usuarios afectados, decidieron no revelarlo
Bob Diachenko, director de Investigación de Riesgo Cibernético en Hacken, descubrió la brecha de seguridad el pasado 10 de septiembre. Al día siguiente, identificó a los dueños de la base de datos e informó a Navionics, que aseguró la información expuesta ese mismo día.
La base de datos en el servidor de MongoDB no estaba protegida con una contraseña, lo que permitía a cualquiera que supiera dónde buscar acceder y descargar la información, explicó en un post en el blog de la firma de ciberseguridad.
"Navionics se toma muy en serio la protección de datos, y estamos agradecidos de que el Sr. Diachenko nos haya avisado sobre este error de configuración mediante el modelo de divulgación responsable. Una vez notificados, inmediatamente investigamos y resolvimos la vulnerabilidad", indicó un portavoz de la compañía, según publica Hacken, y añadió:
Después de nuestra investigación, confirmamos que ninguno de los registros o datos fueron accedidos o exfiltrados, y que ninguno de los datos se perdió. Aun así, Navionics notificó de todas formas a los clientes afectados por correo electrónico el 8 de octubre de 2018.
MongoDB, un sistema de bases no relacionales o NoSQL de código abierto, que es uno de los más usados por empresas en el mundo, incluyendo a MTV, Craiglist y Foursquare. En los últimos años, ha sido blanco de piratas informáticos, quienes acceden a las bases de datos, descargan su contenido y luego lo borran para pedir a cambio una extorsión a sus dueños.
Yahoo! lee tus correos electrónicos para vender información a anunciantes
A mediados del pasado mes de septiembre, Diachenko también descubrió en línea sin ningún cifrado una base de datos de MongoDB de 43.5GB, la cual contenía 10.999.535 direcciones de correo electrónico de Yahoo!, así como el nombre completo, información de género y direcciones físicas como el estado, la ciudad y el código postal de esos usuarios.